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(54) Verfahren zum Schutz elnes Slcherheitsmoduls urid Anordnung zur DurchfUhrung des Verfahrens 



(57) Die Erfindung betrifft ein Verfahren zum 

Schutz eines Sicherhertsmoduls mit 

Zustanduberwachung, Uberwachung des sachgema&en 
Gebrauchs oder Austausches des Sicherhertsmoduls 
mittels einer ersten (120), zweiten (12) und dritten 
Funktionseinheit (1 3), Signalisieren mindestens eines 
Zustandes (220, 230, 240, 250, 260, 270, 280, 290) 
gesteuert mittels der ersten Funktionseinheit (120) und 
Loschen von sensitiven Daten aufgrund eines 
unsach gem alien Gebrauchs Oder Austausches 
mindestens mittels der zweiten Funktionseinheit (12). 
Weiterhin ist ein Sperren der Funktionalitat mittels 
der dritten Funktionseinheit (13) aufgrund eines 
Austausches des Sicherhertsmoduls, Reinttialisieren der 
zuvor geloschten sensitiven Daten nach sachgemafiem 
Gebrauch Oder Austausch des Sicherheitsmoduls (100) 
und Wiederinbetriebnahme durch Freischaften der 
Funktionseinheiten des Sicherheitsmodules. 
Die Anordnung zur DurchfQhrung des Verfahrens, weist 
Mittel zum Laden mindestens eines von der 
Datenzentrale vorgegebenen Zeitkredtts und eine mit 
einem Signalmittel (107, 108) verbundene erste 
Funktionseinheit (120) auf, wobei das Laden bei der 
Installation und beim Nachladen in einen Speicher (124) 
des Sicherheitsgerates vorgenommen wird, und wobei 
die erste Funktionseinheit (120) einen Tageskredit auf 
Zeitablauf auswertet und das Signalmittel (107, 108) 
ansteuert, mindestens urn den Zeitablauf 



zusignalisieren. Der Sicherhertsmodul kann verschiedene 
Zustande signalisieren. So kann beispielsweise 
unterschieden werden, ob deNJetzte Kontakt zur 
Datenzentrale sehr lange zuruckliegt. 
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Beschrelbung 

[0001] Die Erfindung betrifft ein Verfahren zum Schutz eines Sicherheitsmoduls, gemafi der im Oberbegriff des 
Anspruchs 1 angegebenen Art, und eine Anordnung zur Durchfuhrung des Verfahrens, gematt der im Oberbegriff des 
5 Anspruchs 10 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere fur den Einsatz in einer 
° Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion geeignet 

[0002] Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte Thermotransfer-Frankiermaschine, 
setzen eine vollelektronische digitale Druckvorrichtung ein. Damit ist es prinzipiell mOglich, beliebige Texte und 
Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder ein einer Kostenstelle zugeordnetes 
Werbeklischee zu drucken. So hat zum Beispiel die Frankiermaschine T1000 der Anmeldehn einen Mikroprozessor, 
10 welcher von einem gesicherten Gehause umgeben ist, das eine Offnung fur die Zufuhrung eines Briefes aufweist Bei 
einer Briefeufuhrung Qbermittelt ein mechanischer Briefeensor (Mikrosch alter) ein Druckanforderungssignal an den 
Mikroprozessor. Der Frankierabdruck beinhaltet eine zuvor eingegebene und gespeicherte postalische information zur 
BefGrderung des Briefes. Die Steuereinheit der Frankiermaschine nimmt eine Abrechnung softwaremattig vor, ubt eine 
Oberwachungsfunktion ggf. bezuglich der Bedingungen fur eine Datenaktualisierung aus und steuert das Nachladen 
eines Portwertguthabens. 

15 [0003] Fur die oben genannte Thermotransfer-Frankiermaschine wurde bereits in US 5,606,508 (DE 42 1 3 278 B1 ) 
und in US 5,490,077 eine DateneingabemOglichkeit mittels Chipkarten vorgeschlagen. Eine der Chipkarten ladt neue 
Daten in die Frankiermaschine und ein Satz an weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine 
Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das Datenladen und die Einstellung der 
Frankiermaschine kann damit bequemer und schneller als per Tastatureingabe erfolgen. Eine Frankiermaschine zum 
Frankieren von Postgut, ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung 
zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum 
Abrechnen von Postgebuhren, mit mindestens einem nichtflQchtigen Speicher zum Speichern von PostgebOhrendaten, 
mit mindestens einem nichtflQchtigen Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer 
Kalender/Uhr ausgestattet. Der nichtfluchtige Speicher der sicherheitsrelevanten Daten und/oder die Kalender/Uhr 
wird gewflhnlich von einer Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheitsrelevante Daten 

25 (kryptografische SchlGssel u.a.) in nichtflQchtigen Speichern gesichert Diese Speicher sind EEPROM, FRAM oder 
batteriegesicherte SRAM. Bekannte Frankiermaschinen verfOgen oft auch Qber eine interne Echtzettuhr (Real Time 
Clock) RTC, die von einer Batterie gespeist wird. Bekannt sind z.B. vergossene Module, die integrierte Schaltkreise 
und eine Lithium-Batterie enthaften. Diese Module mussen nach Ablauf der Lebensdauer der Batterie im Ganzen 
ausgetauscht und entsorgt werden. Aus wirtschaftiichen und Ckologischen Gesichtspunkten ist es gunstiger, wenn nur 
die Batterie ausgetauscht werden mutt. Dazu mutt jedoch das Sicherheitsgehause geoffnet und anschliettend wieder 

30 verschlossen und gesiegelt werden, denn die Sicherheit gegenQber Betrugsversuchen beruht im Wesentlichen auf dem 
gesicherten Gehause, welches die gesamte Maschine umschliettt Seitens der Anmelderin wurde in EP 660 269 A2 (US 
5,671 ,146) bereits ein geeignetes Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen, in 
welchem zwischen einem authorisierten und unauthorisierten Offnen des Sicherheitsgehauses unterschieden wird. 
[0004] Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann vor Ort nur schwer mOglich, wenn 
der Zugang zu den Bauteilen erschwert oder eingeschrankt ist. Bei grCtteren Postverarbeitungsmaschinen oder 

35 sogenannten PC-Fran kierern wird zukQnftig das gesicherte Gehause auf das sogenannte postalische Sicherheitsmodul 
reduziert werden, was die Zuganglichkeit zu den Qbrigen Bauteilen verbessern kann.Zum wirtschaftiichen Austauschen 
der Batterie des Sicherheitsmoduls ware es aufierdem wunschenswert, daft sich diese auf relativ einfachem Wege 
auswechseln lattt Dazu mutt sich die Batterie autterhalb des Sicherheitsbereichs der Frankiermaschine befinden. 
Wenn die Batterieklemmen aber von autten zuganglich gemacht werden, ist ein mtiglicher Angreifer in der Lage, die 

40 Batteriespannung zu manipulieren. Bekannte batteriegespeiste SRAM und RTC haben bzgl. ihrer geforderten 
a Betriebsspannung unterschiedliche Anforderungen. Die notwendige Spannung zum Halten von Daten von SRAM liegt 
unterhalb der geforderten Spannung zum Betrieb von RTC. Datt bedeutet, datt ein Verringern der Spannung unter 
einen bestimmten Grenzwert zu einem unerwunschten Verhalten der Komponenten fuhrt: Die RTC bleibt stehen, die 
Uhrzeit - gespeichert in SRAM-Zellen - und die Speicherinhatte des SRAM bleiben erhalten. Wenigstens eine der 
Sicherheitsmattnahmen, beispielsweise Long Time Watchdogs, waren dann auf der Frankiermaschinenseite 

45 unwirksam. Unter Long Time Watchdogs wird folgendes verstanden: Die enifernte Datenzentrale gibt einen Zeitkredit 
bzw. eine Zeitdauer, insbesondere eine Anzahl von Tagen, oder einen bestimmten Tag vor, bis zu welchem sich die 
Frankiereinrichtung per Kommunikationsverbindung melden kann. Nach erfolglosen Ablauf des Zeitkredits oder der Frist 
wird das Frankieren verhindert. Unter dem Titel: Verfahren und Anordnung zur Erzeugung und Oberprufung eines 
Sicherheitsabdruckes wurde bereits in der EP 660 270 A2 (US 5,680,463) ein Verfahren vorgeschlagen, die 
voraussichtiiche Zeitdauer bis zur nachsten Guthabennachladung zu ermitteln, wobei seitens einer Datenzentrale 

50 diejenige Frankiermaschine als suspekt girt, welche sich nicht fristgematt meldet. Suspekte Frankiermaschinen werden 
der Postbehorde mitgeteilt, welche den Poststrom nach von suspekten Frankiermaschinen frankierten Briefen 
uberwacht. Ein Ablauf des Zeitkredits oder der Frist wird bereits auch von der Frankiereinrichtung ermittelt. Der 
Benutzer wird aufgefordert die uberfallige Kommunikation durchzufuhren. Diese Frankiereinrichtung besitzt jedoch 
kein separates Sicherheitsmodul. 

[0005] Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen her bereits bekannt Zum Schutz 
55 vor Einbruch in eine elektronische Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche 
Stromversorgungsmittel- und Sign ale rfassungsmittel sowie Abschirmmittel im Gehause umfattt. Das Abschirmmittel 
besteht aus Einkapselungsmaterial und Leitungsmitteln, an welchen die Stromversorgungs- und Signalerfassungsmittel 
angeschlossen sind. Letzteres reagiert auf eine Veranderung des Leitungswiderstandes des Leitungsmittels. Aufierdem 
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enthait das Sicherheitsmodul eine interne Batterie, einen Spannungsumschalter von Systemspannung auf 
Batteriespannung, ein Power Gate und einen Kurzschlufitransistor sowie weitere Sensoren. Wenn die Spannung eine 
bestimmte Grenze unterschreitet, reagiert das Power Gate. Wenn der Leitungswiderstand, die Temperatur Oder die 
Strahlung verandert ist, reagiert die Logik. Mittels des Power Gate oder mittels der Logik wird der Ausgang des 
Kurzschlufttransistor auf L-Pegel umgeschaltet, wodurch ein im Speicher gespeicherter kryptographischer Schlussel 
gelttscht wird. Jedoch ist die Lebensdauer der nicht auswechselbaren Batterie und damit des Sicherheitsmoduls for den 
Einsatz in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein. 

[0006] Eine grOttere Postverarbeitungsmaschine ist beispielsweise die JetMaiK§>. Ein Frankierdruck wird hier 
mittels einem stationer angeordneten Tintenstrahldruckkopf bei einem nichtwaagerechten annahernd vertikalen 
Brieftransport erzeugt Eine geeignete Ausfuhrung fQr eine Druckvorrichtung wurde bereits in der DE 196 05 015 C1 
vorgeschlagen. Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soil das Meter mit einem Gehause 
ausgestattet werden, so daS Bauteile leichter zugSnglich sind, dann muli es durch ein postalisches Sicherheitsmodul 
vor Betrugsversuchen geschutzt werden, welches mindestens das Abrechnen der Postgebuhren durchfuhrt Urn 
Einflusse auf den Programmveriauf auszuschlie&en, wurde bereits in der EP 789 333 A2 unter dem Titel: 
Frankiermaschine vorgeschlagen, ein Sicherheitsmodul mit einer Anwenderschaltung (Application Specific Integrated 
Circuit) ASIC auszustatten, die eine Hardware-Abrecheneinheit aufweist Die Anwenderschaltung steuert auSerdem die 
15 Druckdatenubertragung zum Druckkopf. 

[0007] Letzteres ware nur dann nicht erforderiich, wenn for jedes Poststuck einzigartige Abdruke erzeugt werden. 
Ein geeignetes Verfahren und Anordnung zur Erzeugung und Oberprufung eines Sicherheitsabdruckes ist 
beispielsweise in den US 5,680,463, US 5,712,916 und US 5,734,723 vorgeschlagen worden. Dabei wird eine spezielle 
Sicherheitsmarkierung elektronisch generiert und in das Druckbild eingebettet. 

[0008] Weitere Mafcnahmen zum Schutz eines Sicherheitsmodul vor einem Angriff auf die in ihm gespeicherten 
20 Daten wurden auch in den nicht vorverdffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 571.4 
vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Stromverbrauch und ein nicht standig von einer 
Systemspannung versorgter Sicherheitsmodul zieht dann den fQr die Sensoren bendtigten Strom aus seiner internen 
Batterie, was letztere ebenfalls fruhzeitig erschflpft Die Kapazitat der Batterie und der Stromverbrauch beschrdnken 
somit die Lebensdauer eines Sicherheitsmoduls. 
25 [0009] Frankiermaschinen sind wie viele andere Produkte ebenfalls modular aufgebaut. Diese Modularitat 
ermdglicht den Austausch von Modulen und Komponenten aus verschiedenen GrOnden. So kOnnen z.B. defekte 
Module ausgetauscht und durch uberprufte, reparierte Oder neue Module ersetzt werden. Da eine hochste Sorgsamkeit 
beim Austausch von Baugruppen erforderiich ist, die sicherheitsrelevante Daten enthalten, erfordert der Austausch in 
der Regel den Einsatz eines Service Technikers und MaSnahmen, die bei unsachgema&em Gebrauch bzw. 
unauthorisierten Austausch eines Sicherheitsmoduls dessen Funktionsweise unterbinden. Letzteres ist aber sehr 
30 aufwendig. 

[0010] Der Erfindung liegt die Aufgabe zugrunde, mit geringem Aufwand den Schutz vor einem unbefugt 
manipulierten Sicherheitsmodul zu gewahrleisten, wenn das Sicherheitsmodul austauschbar angeordnet ist Der 
Austausch soil von jederman auf mSglichst einfache Weise mOglich sein. 

[0011] Die Aufgabe wird mit den Merkmalen des Verfahrens nach Anspruch 1 und mit den Merkmalen der 
Anordnung nach Anspruch 10 geldst 

[0012] Die Erfindung geht davon aus, mittels Funktionseinheiten den Austausch, die Manipulation und den 
Gebrauch eines Sicherheitsmoduls einer Frankiermaschine, Postverarbeitungseinrichtung oder ahnlichen 
Gerates festzustellen, urn den Benutzern der verschiedenen Gerate eine Gewahrieistung Qber die korrekte 
Funktionsweise des Sicherheitsmoduls und damit des gesamten Gerates bieten zu kdnnen. Ein Austauschen oder 
Beschddigen des Sicherheitsmoduls wird mindestens detektiert und ggf. nachtragiich als Zustand signalrsiert, wenn 
40 der Sicherheitsmodul wieder gesteckt ist und mit einer Systemspannung versorgt wird. Die Verdnderungen des 
Zustandes des Sicherheitsmoduls werden mittels einer ersten Funktionseinheit und mittels einer Detektionseinheit 
erfaftt, welche eine rucksetzbare Selbsthaltung aufweist und von einer Batterie versorgt wird. Die erste 
Funktionseinheit kann den jeweiligen Zustand auswerten, wenn sie wieder mit Systemspannung versorgt wird. Die 
Vorteile liegen in einer schnellen Reaktion auf Veranderungen des Zustandes des Sicherheitsmoduls und in einem 
geringem Batteriestromverbrauch der Detektionseinheit auch wahrend der Nichtversorgung mit der Systemspannung. 
45 [0013] Eine zweite Funktionseinheit kann die Batteriespannung gegebenenfalls daraufhin Oberwachen, ob deren 
Kapazitat erschGpft ist Ein erforderlicher Batteriewechsei wird signalisiert, wobei naturiich eine Versorgung durch 
die Systemspannung gesichert sein muG. Es ist mindestens dann von einem unsachgemaftem Gebrauch eines 
Sicherheitsmoduls bei dem Austausch auszugehen, bei welchen nicht nur die Systemspannung fehlt, sondern auch die 
austauschbar angeordnete Batterie entfernt wird. Damit der Austausch von moglichst gering qualifiziertem Personal 
und in Zukunft gar durch den Benutzer ausgefuhrt werden kann, ubernimmt die zweite Funktionseinheit die 
50 Uberwachung auf Span nungsausf all beim Austausch der Batterie, wobei die erste Funktionseinheit erforderiichenfalls 
zunachst sensitive Daten I6scht und damit den weiteren Gebrauch des Sicherheitsmoduls einschrankt oder gar 
unterbindet. Nach einer vor-Ort-lnspektion des Sicherheitsmoduls durch einen Service, kann bei intaktem Gehause, der 
ursprungliche Funktionsumfang wiederhergestellt werden. Die erste Funktionseinheit erzwingt bei einer spateren 
Wiederinbetriebnahme eine Kontaktaufnahme des Sicherheitsmoduls mit einer entfernten Datenzentrale zum 
55 Freischalten mindestens einer Funktionseinheit. Falls ohne Batteriewechsei der ganze Sicherheitsmodul ausgetauscht 
wurde, werden zunachst durch die zweite Funktionseinheit ebenfalls sensitive Daten geldscht, jedoch konnen bei der 
Wiederinbetriebnahme die sensitiven Daten reinitialisiert werden. Zur Kontaktaufnahme sind Verfahren mit einer 
digitalen oder analogen Ubertragungsstrecke einsetzbar. Ebenfalls wird eine Inspektion des Sicherheitsmoduls dann 
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durch einen Service veranlafit Der Sicherheitsmoduls kann verschiedene Zustande signalisieren. So kann 
beispielsweise unterschieden werden, ob der letzte Kontakt zur Datenzentrale solange zuruckliegt, dali dies bereits 
verdachtig erscheint Oder zulange, daft eine Reinitialisierung nicht mehr gestattet wird. Die erste Funktionseinheit 
wertet standig einen ersten Tageskredit aus. Wenn letzterer erschdft ist, wird der suspekte Zustand signalisiert. 
Durch Kontaktaufnahme mit der Datenzentrale kann der nor-male Arbettszu stand wiederhergesteltt werden, ohne dafi 

5 eine Inspektion vor Ort durch einen Service erforderlich wird. Der Zeitkredit kann variabel und von Sicherheitsgerat 
zu Sicherheitsgerat unterschiedlich sein. Der Zeitkredit kann von der Datenzentrale vorgegeben und bei der 
Installation in einen Speicher des Sicherheitsgerates geladen werden. Die erste Funktionseinheit wertet standig 
einen zweiten Tageskredit aus. Wenn letzterer erschOft ist, wird der Zustand "'LOST" signalisiert Im letzteren Fall 
wird ebenfalls eine Inspektion des Sicherheitsmoduls durch einen Service vor Ort erforderlich. 

1Q [0014] Das Verfahren zum Schutz eines Sicherheitsmoduls beinhaltet die folgenden Schritte: 

, Uberwachung des Zustandes, des sach gem alien Gebrauchs Oder Austausches des Sicherheitsmoduls mindestens 
mittels zweier Funktionseinheiten, 

, Signalisieren mindestens eines Zustandes gesteuert mittels einer ersten Funktionseinheit, 

15 

, Loschen von sensitiven Daten aufgrund eines unsachgemaSen Gebrauchs Oder Austausches mindestens mittels 
einer zweiten Funktionseinheit 
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[0015] Dann erfolgt ein weiterer Verfahrensablauf mit den Schritten: 

, Reinrtialisieren mittels der ersten Funktionseinheit von zuvor geloschten sensitiven Daten nach sachgemafiem 
Gebrauch oder Austausch des Sicherheitsmoduls, 

, Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des Sicherheitsmodules. 

[0016] Gegebenenfalls muS ein Austausch des Sicherheitsmoduls vorgenommen werden. Mittels einer dritten 
Funktionseinheit kann sowohl ein Austausch- als auch ein ZerstCrungszustand nach einem mechanischen oder 
chemischen Angriff detektiert werden, mit dem Schritt: 

3Q , Sperren der Funktionalitat mittels der dritten Funktionseinheit aufgrund eines Austausches des Sicherheitsmoduls 
^ oder aufgrund eines Zerstdrungszustandes nach einem Angriff. 

[0017] Es ist vorgesehen, dad das Reinrtialisieren in Verbindung mit einer Kommunikation mittels einer 
entfernten Datenzentrale yon der ersten Funktionseinheit vorgenommen wird, nachdem eine dynamische Gestecktsein- 

35 Detektion erfolgreich durchgefuhrt wurde, wobei wahrend der Detektion von der ersten Funktionseinheit uber eine 
Stromschleife der Interfaceeinheit Informationen ausgetauscht werden, deren fehlerfreie Ubermittlung den Beweis fur 
den sachgemd&en Einbau des Sicherheitsmodules erbringt. Das Freischalten von Funktionseinheiten des 
Sicherheitsmodules erfolgt durch deren Rucksetzen. Die erste Funktionseinheit ist ein mit den anderen 
Funktionseinheiten verbundener Prozessor, welcher programmiert ist, den jeweiligen Zustand festzustellen. Die zweite 
Funktionseinheit ist eine Spannungsuberwachungseinheit mit rucksetzbarer Selbsthaltung und die dritte 

40 Funktionseinheit ist eine Detektionsschaltung mit rucksetzbarer Selbsthaltung, die einen vorhergegangenen 
Ungestecktsein-Zustand und ebenso einen Zerstorungszu stand nach einem mechanischen oder chemischen Angriff 
detektieren kann. FQr diese statische Detektion ist die Vergufimasse mit zusatzlichen Mitteln ausgestattet, welche 
das Sicherheitsmodul bei einem Angriff warnen und ggf. schutzen. 

[0018] Die Anordnung zur Durchfuhrung des Verfahrens hat ein Sicherheitsmodul, mit einer Logik mit Mitteln zur 
Versorgung des Sicherheitsmoduls mit einer Systemspannung oder mit einer Spannung aus einer Batterie und mit einer 

45 Anzahl an Uberwachungsmitteln. Sie ist gekennzeichnet durch mindestens eine erste und zweite Funktionseinheit 
sowie durch Mittel zum Laden mindestens eines von der Datenzentrale vorgegebenen Zeitkredits und durch ein 
Signalmittel, welches mit einer ersten Funktionseinheit verbunden ist, wobei das Laden bei der Installation und beim 
Nachladen in einen Speicher des Sicherheitsgerates vorgenommen wird, und wobei die erste Funktionseinheit einen 
Tageskredit auf Zertablauf auswertet und das Signalmittel ansteuert, mindestens um den Zertablauf zu signalisieren, 

^ sowie durch Mittel der zweiten Funktionseinheit zum LOschen von sensitiven Daten im Speicher aufgrund eines 
unsachgema&en Gebrauchs oder Austausches des Sicherheitsmoduls. 

[0019] Vorteilhafte Weiterbildungen der Erfindung sind in den Unteranspruchen gekennzeichnet bzw. werden 
nachstehend zusammen mit der Beschreibung der bevorzugten Ausfuhrung der Erfindung anhand der Figuren naher 
dargestellt. Es zeigen: 

55 Ftgur 1, Blockbild und Interface des Sicherheitsmoduls, 

Figur 2, Blockschaltbild der Frankiermaschine, 



-4- 



EP 1 035 518 A2 

Figur 3, Perspektivische Ansicht der Frankiermaschine von hinten, 
Figur 4, Blockschaltbild des Sicherheitsmoduls (zweite Variante), 
Figur 5, Schaltbild der Detektionseinheit, 
Figur 6, Seitenansicht des Sicherheitsmoduls (1 .Variante), 
Figur 7, Draufsicht auf das Sicherheitsmodul (1 .Variante), 
Figur 8a, Ansicht des Sicherheitsmoduls von rechts (1 .Variante), 
Figur 8b, Ansicht des Sicherheitsmoduls von links (1 .Variante), 
Figur 9, Tabelle fur Statussignalisierung, 

Figur 10, Darsteilung der PrGfungen im System fur statische und dynamisch anderbare Zustande, 
Figur 11, Seitenansicht des Sicherheitsmoduls (2.Variante), 
Figur 12, Draufsicht auf das Sicherheitsmodul (2. Variante), 
Figur 13a, Ansicht des Sicherheitsmoduls von rechts (2. Variante), 
Figur 13b, Ansicht des Sicherheitsmoduls von links (2. Variante). 



[0020] In der Figur 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den Kontaktgruppen 101, 102 zum AnschtuS 
an ein Interface 8 sowie mit den Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces fur eine Batterie 134 
dargesteltt Obwohl das Sicherheitsmodul 100 mit einer harten Vergu&masse vergossen ist ist die Batterie 134 des 
Sicherheitsmoduls 100 au&erhalb der VerguGmasse auf einer Leiterplatte auswechseibar angeordnet Die Leiterplatte 
tragt die Batteriekontaktklemmen 103 und 104 fOr den AnschluR der Pole der Batterie 134. Mittels der Kontaktgruppen 
101, 102 wird das Sicherheitsmodul 100 an ein entsprechendes Interface 8 der HauptpJatine (Motherboard) 9 gesteckt 
Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuereinrichtung in Kommunikationsverbindung und die 
zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Ober die Pins 
P3.P5-P19 der Kontaktgruppe 101 laufen Adre&und Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste 
und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen und dynamischen Uberwachung des 
Angestecktseins des Sicherheitsmoduls 100 ausgebtldet Ober die Pins P23 und P25 der Kontaktgruppe 102 wird die 
Versorgung des Sicherheitsmodul 100 mit der Systemspannung der Hauptplatine 9 realisiert und uber die Pins P1, P2 
bzw. P4 wird eine dynamische und statische Ungestecktsein-Detektion durch das Sicherheitsmodul 100 realisiert. 
Letztere erfordert eine Detektionseinheit 13, welche uber uber eine Leiterschleife 192, 194 mit dem Pin P4 der 
Kontaktgruppe 102 verbunden ist. Die Leiterschleife kann als Bestandteil des besonders zu sichernden Teils des 
Sicherheitsmoduls 100 ausgebildet und in VerguSmasse so eingebettet sein, das bei einem mechanisch oder 
chemischen Angriff auf den vorgenannten Teil des Sicherheitsmoduls 1 00 der Kontakt zum Pin P4 unterbrochen wird. 
Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen Mikroprozessor 120 auf, der einen - nicht 
gezeigten - integrierten Festwertspeicher (internal ROM) mit dem speziellen Anwendungsprogramm enthait, was fur die 
Frankiermaschine von der PostbehOrde bzw. vom jeweiligen Postbefdrderer zugelassen ist. Alternativ kann an den 
intemen Datenbus 126 ein ublicher Festwertspeicher ROM oder FLASHSpeicher angeschlossen werden. 
Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine ResetSchaltungseinheit 130, einen 
Anwenderschaltkreis ASIC 150 und eine Logik PAL 160 auf, die fur den ASIC als Steu ensign algenerator dient. Die 
Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und die Logik PAL 160 sowie eventuell 
weitere - nicht gezeigte - Speicher werden uber die Leitungen 191 bzw. 129 mit Systemspannung Us+ versorgt, welche 
bei eingeschalteter Frankiereinrichtung von der Hauptplatine 9 geliefert wird. In der EP 789 333 A2 wurden bereits 
die wesentlichen Teile eines postalischen Sicherheitsmoduls PSM erlautert, die die Funktionen Abrechnen und 
Absichern der Postgebuhrendaten realisieren. 

[0021] Die Systemspannung Us+ liegt auSerdem Qber eine Diode 181 und die Leitung 136 am Eingang der 
Spannungsuberwachungseinheit 12 an. Am Ausgang der Spannungsuberwachungseinheit 12 wird eine zweite 
Betriebsspannung Ub+ geliefert, welche uber die Leitung 138 zur Verfugung steht. Bei ausgeschalteter 
Frankiereinrichtung steht nicht die Systemspannung Us+, sondern nur die Batteriespannung Ub+ zur Verfugung. Die 
am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse verbunden. Von der am positiven Pol liegenden 
Batteriekontaktklemme 103 wird Batteriespannung uber eine Leitung 193, uber eine zweite Diode 182 und die Leitung 
136 an den Eingang der Spannungsuberwachungseinheit geliefert Alternativ zu den beiden Dioden 181, 182 kann ein 
handelsublicher Schaltkreis als Spannungsumschaiter 180 eingesetzt werden. 

[0022] Der Ausgang der Spannungsuberwachungseinheit 12 ist uber eine Leitung 138 mit einem Eingang fur diese 
zweite Betriebsspannung des Prozessors 120 verbunden, welcher mindestens auf einen RAMSpeicherbereich 122, 
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124 fuhrt und dort eine nichtfluchtige Speicherung solange garantiert, wie die zweite Betriebsspannung U,^ in der 
erforderlichen H6he anliegt Der Prozessor 120 enthait vorzugsweise einen internen RAM 124 und eine Echtzeituhr 
(RTC) 122. 

[0023] Die Spannungsuberwachungseinheit 12 im Sicherheitsmodul weist eine rQcksetzbare Selbsthaltung auf r die 
vom Prozessor 120 uber eine Leitung 164 abgefragt und uber eine Leitung 135 zuruckgesetzt werden kann. FQr eine 
Rucksetzung der Selbsthaltung weist die Spannungsuberwachungseinheit 12 Schaltungsmittel auf. Die Rucksetzung ist 
erst ausldsbar, wenn die Batteriespannung uber die vorbestimmte Schwelle angestiegen ist Die Leitungen 135 and 164 
sind je mit einem Pin (Pin1 und 2) des Prozessors 120 verbunden. Die Leitung 164 liefert ein Statussignal an den 
Prozessor 120 und die Leitung 135 liefert ein Steuersignal an die Spannungsuberwachungseinheit 12. 
[0024] Die Leitung 136 am Eingang der Spannungsuberwachungseinheit 12 versorgt zugletch eine 

10 Ungestecktsein-Detektionsetnheit 13 mit Betriebsoder Batteriespannung. Die Ungestecktsein-Detektionseinheit 13 gibt 
auf der Leitung 139 ein Statussignal an einen Pin 5 des Prozessors 120 ab, das eine Aussage uber den Zustand der 
Schaltung gibt Vom Prozessor 120 wird der Zustand der Ungestecktsein-Detektionseinheit 13 uber die Leitung 139 
abgefragt Der Prozessor kann mit einem vom Pin 4 des Prozessors 120 Ober die Leitung 137 abgegebenen Signal die 
Ungestecktsein-Detektionseinheit 13 zurucksetzen. Nach dem Setzen wird eine statische PrOfung auf Anschluft 
durchgefuhrt Dazu wird Uber eine Leitung 192 Masse potential abgefragt, welches am AnschluS P4 des interfaces 8 des 

15 postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 
ordnungsgemafc gesteckt ist Bet gesteckten Sicherheitsmodul 100 wird Massepotentiai des negatrven Pols 104 der 
Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf den Anschiuft P23 des Interfaces 8 gelegt und ist somit 
am Anschluft P4 des Interfaces 8 Ober die Leitung 192 von der Ungestecktsein-Detektionseinheit 13 abfragbar. 
[0025] An den Pins 6 und 7 des Prozessors 120 liegt eine Leitungsschleife, welche Ober die Pins P1 und P2 der 
Kontaktgruppe 102 des Interfaces 8 zum Prozessor 120 zuruckgeschleift wird. Zur dynamischen PrOfung des 
Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der Hauptplatine 9 werden vom Prozessor 120 
wechselnde Signalpegel in ganz unregelma&igen Zeitabstanden an die Pin's 6, 7 angelegt und Ober die Schleife 
zuruckgeschleift. 

Das postalische Sicherheitsmodul PSM 100 ist mit einer Long-LiveBatterie bestuckt, welches auch eine Uberwachung 
des Gebrauchs ermfiglicht, ohne das das Sicherheitsmodul an einer Systemspannung eines 

25 Postverabeitungseinrichtung liegt Der sachgemdQe Gebrauch, Betrieb, Installation Oder Einbau in der geeigneten 
Umgebung sind solche von den Funktionseinheiten des Sicherheitsmoduls zu prufende Eigenschaften. Eine 
Erstinstallation wird vom Hersteller des postalischen Sicherheitsmoduls vorgenommen. Es ist also nach dieser 
Erstinstallation zunachst lediglich zu prufen, ob das postalische Sicherheitsmodul von ihrem Einsatzfeld 
(Postverabeitungseinrichtung) getrennt wird, wobei dies in der Regel bei einem Austausch erfolgt 
Die Uberwachung dieses Zustandes wird von der UngestecktseinDetektionseinheit 13 vorgenommen. Hierbei wird Uber 

30 die Masseverbindung am Pin 4 der interfaceeinhert 8 ein Spannungspegel Oberwacht Beim Austausch der 
Funktionseinheit wird diese Masseverbindung unterbrochen und die Ungestecktsein-Detektionseinheit 13 registriert 
diesen Vorgang aJs Information. Da bei einem mechanisch oder chemischen Angriff auf das Sicherheitsmodul 100 und 
fur jede Trennung des Sicherheitsmoduls 100 von der Interfaceeinhert 8, die Speicherung dieser Information durch den 
spezielien batteriegetriebenen Schaltungsaufbau gewahrieistet ist, kann eine Auswertung dieser information zu jeder 
Zeit erfolgen, falls eine Wiederinbetriebnahme gewunscht ist Die regelma&ige Auswertung dieses Trehnungs- bzw. 

35 Ungestecktsein-Signals auf der Leitung 139 der Detektionseinheit 13 ermflglicht es dem Prozessor 120 sensitive Daten 
zu Iflschen, ohne jedoch damit die Abrechnungs- und Kundendaten in den NVRAM-Speichern zu verandern. Der 
momentane Zustand des postalischen Sicherheitsmoduls mit den gelOschten sensrtiven Daten kann als 
Wartungszustand aufgefa&t werden, in welchem in der Regel der Austausch, eine Reparatur oder sonstiges 
vorgenommen wird. Da die sensrtiven Daten der Funktionseinheit geldscht sind, ist ein Fehler aufgrund einer 
unsachgemafien Handhabung des postalischen Sicherheitsmoduls ausgeschlossen. Die sensrtiven Daten sind 

40 beispielsweise kryptographische SchlOssel. Der Prozessor 120 verhindert im Wartungszustand eine Kernfunktionaiitat 
des postalischen Sicherheitsmoduls, welche beispielweise in der Abrechnung und/oder Berechnung eines 
Sicherhertscodesfur die Sicherheitsmarkierung in einem Sicherheitsabdruck besteht 

[0026] Zur Wiederinbetriebnahme wird das postalische Sicherheitsmodul PSM zunachst gesteckt und elektrisch mit 
der entsprechenden Interfaceeinhert 8 eines Postbearbeitungsgerates verbunden. AnschlieSend wird das Gerat 

45 eingeschaltet und somit das postalische Sicherheitsmodul wieder mit Systemspannung Us+ versorgt. Aufgrund des 
spezielien Zustandes muS nun der sachgema&e Einbau des postalischen Sicherheitsmoduls durch in re 
Funktionseinheit erneut gepruft werden. HierfQr wird eine zweite Stufe einer PrOfung (dynamische Gestecktsein- 
Detektion) vorgesehen. Ober eine zwischen der ersten Funktionseinheit (Prozessor 120) und der Stromschleife 18 der 
Interfaceeinhert 8 hergestelrten operative Verbindung werden Informationen ausgetauscht, deren fehlerfreie 
Ubermittlung den Beweis fur den sachgemaiJen Einbau erbringt. Dies ist Voraussetzung fur eine erfolgreiche 

so Wiederinbetriebnahme. 

[0027] FQr den Zustandswechsel in den normalen Betriebszustand ist nun noch eine Reinitialisierung der 
sensrtiven Daten erforderlich. Zwischen dem postalischen Sicherheitsmodul und einer dritten Instanz wird eine 
Kommunikation vorgenommen, wobei letztere diese sensrtiven Daten ubermittelt Nach erfolgreicher Ubermittlung wird 
die Ungestecktsein Detektionseinheit 13 zuruckgesetzt und das postalische Sicherheitsmodul nimmt wieder seinen 
normalen Betriebszustand ein. Die Wiederinbetriebnahme ist abgeschlossen. 

55 [0028] Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit einer Chipkarten- 

Schreib/Leseeinheit 70 zum Nachladen von Anderungsdaten per Chipkarte und mit einer Druckeinrichtung 2, welche 
von einer Steuereinrichtung 1 gesteuert wird, ausgestattet ist Die Steuereinrichtung 1 weist eine mit einem 
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Mikroprozessor 91 mit zugehdrigen Speichern 92, 93, 94, 95 ausgestattete Hauptplatine 9 auf. 

[0029] Der Prog ram mspeicher 92 enthait ein Betriebsprogramm mindestens zum Drucken und wenigstens 
sicherheitsrelevante Bestandteile des Programms fur eine vorbestimmte Format-Anderung eines Teils der Nutzdaten. 
Der Arbeitsspeicher RAM 93 dient zur flQchtigen Zwischenspeicherung von Zwischenergebnissen. Der nichtflQchtige 
Speicher NVM 94 dient zur nichtfiQchtigen Zwischenspeicherung von Daten, beispieisweise von statistischen Daten, die 

5 nach Kostenstellen geordnet sind. Der Kalender/Uhrenbaustein 95 enthatt ebenfalls adressierbare aber nichtflQchtige 
Speicherbereiche zur nichtfluchtigen Zwischenspeicherung von Zwischenergebnissen oder auch bekannten 
Programmteilen (beispieisweise fur den DES-Algorithmus). Es ist vorgesehen, daS die Steuereinrichtung 1 mit der 
Chipkarten-Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispieisweise 
dazu programmiert ist, die Nutzdaten N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in 

10 entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der Chipkarten- 
Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines Datensatzes in die 
Frankiermaschine fur mindestens eine Anwendung. Die Chipkarte 49 enthait beispieisweise die Portogebuhren for alle 
Oblichen Postbefflrdererieistungen entsprechend des Tarifs der Postbehorde und ein Postbefttrdererkennzeichen, urn 
mit der Frankiermaschine ein Stempelbild zugenerieren und entsprechend des Tarifs der Postbehorde die Poststucke 
freizustempeln. 

15 [0030] Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 95 der vorgenannten 
Hauptplatine 9 und umfaSt auch eine Tastatur 88, eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen 
Schaltkreis ASIC 90 und das Interface 8 fOr das postalische Sicherheitsmodul PSM 100. Das Sicherheitsmodul PSM 
100 ist Ober einen Steuerbus mit dem vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie Ober den parallelen 
uC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 und der mit Anzeigeeinheit 89 verbunden. Der 
Steuerbus fuhrt Leitungen fur die Signale CE, RD und WR zwischen dem Sicherheits-modul PSM 100 und dem 

20 vorgenannten ASIC 90. Der Mikroprozessor 91 weist vorzugsweise einen Pin fur ein vom Sicherheitsmodul PSM 100 
abgegebenes Interruptsignal i, weitere Anschlusse fur die Tastatur 88, eine serieile Schnrttstelle SI-1 for den 
AnschluG der ChipkartenSchreib/Lese-Einheit 70 und eine serieile Schnrttstelle SI-2 for den optionalen Anschlufi 
eines MODEMS auf Mrttels des MODEMs kann beispieisweise das im nichtfluchtigen Speicher des postalischen 
Sicherheitsmittels PSM 100 gespeicherte Guthaben erh6ht werden. 

25 [0031] Das postalische Sicherheitsmittei PSM 100 wird von einem gesicherten Gehause umschlossen. Vor jedem 
^ Frankierabdruck wird im postalischen Sicherheitsmodul PSM 100 eine hardwarema&ige Abrechnung durchgefuhrt. Die 
Abrechnung erfolgt unabhangig von Kostenstellen. Das postalische Sicherheitsmittei PSM 100 kann intern so 
ausgefuhrt sein, wie in der europaischen Anmeldung EP 789 333 A3 naher beschrieben wurde. Es ist vorgesehen, dafc 
der ASIC 90 eine serieile Schnittstellenschaltung 98 zu einem im Poststrom vorschalteten Gerat, eine serieile 
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der Druckeinrichtung 2, eine serieile Schnittstellenschaltung 

30 97 zur Drucksteuerelektronik 16 fur den Druckkopf 4 und eine serieile Schnittstellenschaltung 99 zu einem der 
Druckeinrichtung 20 im Poststrom nachgeschalteten Gerat aufweist. Der DE 197 11 997 ist eine Ausfuhrungsvariante 
fur die Peripherieschnrttsteile entnehmbar, welche fQr mehrere Peripheriegerate (Station en) geeignet ist Sie tragt 
den Titel: Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer 
Postbearbeitungsmaschine und zu deren Notabschaltung. 

[0032] Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befindlichen 

35 Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, 
beispieisweise zum Antriebsmotor 15 fQr die Walze 11 und zu einer Reinigungs- und Dichtstation RDS 40 fur den 
Tintenstrahldruckkopf 4, sowie zum Labeigeber 50 in der Maschinenbasis her Die prinzipielle Anordnung und das 
Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 sind der DE 197 26 642 C2 entnehmbar, mit dem 
Titel: Anordnung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtvorrichtung. 
Einer der in der FQhrungspiatte 20 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der 
40 Druckauslbsung beim Brieftransport Der Sensor 7 dient zur Briefanfangserkennung zwecks Druckauslosung beim 
Brieftransport Die Transporteinrichtung besteht aus einem Transportband 10 und zwei Walzen 11,11'. Eine der Walzen 
ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die mitlaufende Spannwalze 1V. 
Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgefuhrt, entsprechend ist auch das Transportband 10 als 
Zahnriemen ausgefuhrt, was die eindeutige Kraftubertragung sichert Ein Encoder 5, 6 ist mit einer der Walzen 11, 
45 11' gekoppelt Vorzugsweise sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achse. Der 
Inkrementalgeber 5 ist beispieisweise als Schlitzscheibe ausgefuhrt, die mit einer Lichtschranke 6 zusammen wirkt, 
und gibt Qber die Leitung 19 ein Encodersignal an die Hauptplatine 9 ab. 

Es ist vorgesehen, dafi die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehauses mit einer 
Druckkopfelektronik verbunden sind und daB der Druckkopf fur einen rein elektronischen Druck ansteuerbar ist. Die 
Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewahlte Stempelversatz berQcksichtigt wird, welcher 
50 per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtflQchtig gespeichert wird. Ein 
geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls 
weiteren Druckbildern fQr Werbeklischee, Versandinformationen (Wahldrucke) und zusatzlichen editierbaren 
Mitteilungen. Der nichtflQchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter sind solche, 
welche die geladenen Portogebuhrentabellen nichtflQchtig speichern. 

Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehGrigen mechanischen Trager fur die 
55 Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in 
Lese-Position und eindeutige Signalisierung des Erreichens der Leseposition der Chipkarte in der 
Kontaktierungseinheit. Die Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine ein prog rammierte Lesefahigkeit 
fur alle Arten von Speicherkarten bzw. Chipkarten. Das Interface zur Frankiermaschine ist eine serieile 
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Schnittstelle gemaG RS232-Standard. Die Datenubertragungsrate betragt min. 1,2 K Baud. Das Einschalten der 
Stromversorgung erfolgt mittels einem an der Hauptplatine angeschlossenen Schalter 71. Nach Einschalten der 
Stromversorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung. 

[0033] In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargesteltt. Die 
Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 
70 ausgestattet, die hinter der FQhrungsplatte 20 angeordnet und von der GehSuseoberkante 22 zuganglich ist. Nach 
dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den 
Einsteckschlitz 72 eingesteckt Ein zugefuhrter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden 
Oberflache an der FQhrungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 
bedruckt. Die BriefzufuhrSffnung wird durch eine Klarsichtplatte 21 und die FQhrungsplatte 20 seitlich begrenzt Die 
1Q Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten Sicherhertsmoduls 100 ist von auGen durch eine 
Offnung 1 09 sichtbar. 

[0034] Die Figur 4 zeigt ein Blockschaltbild des postalischen Sicherhertsmoduls PSM 100 in einer bevorzugten 
Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der 
positive Pol der Batterie 134 ist Qber die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die 
Systemspannung fOhrende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters 180 verbunden. Ais 
15 Batterie 134 eignet sich der Typ SL389/P fOr eine Lebensdauer bis zu 3,5 Jahren Oder der Typ SL-386/P fur eine 
Lebensdauer bis zu 6 Jahren bei einem maximaien Stromverbrauch durch das PSM 100. Als Spannungsumschalter 
180 kann ein handelsQblicher Schattkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des 
Spannungsumschalters 180 liegt Qber die Leitung 136 an der Batterieuberwachungseinheit 12 und der 
Detektionseinheit 13 an. Die Batterieuberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pins 1, 2, 4 
und 5 des Prozessors 120 Qber die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des 
20 Spannungsumschalters 180 liegt Qber die Leitung 136 auGerdem am Versorgungseingang eines ersten Speichers 
SRAM an, der durch die vorhandene Batterie 134 zum nichtRQchtigen Speicher NVRAM einer ersten Technologie wird. 
Das Sicherheitsmodul steht mit der Frankiermaschine Qber den Systembus 1 15,1 17, 1 18 in Verbindung. Der Prozessor 
120 kann Qber den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale 
eintreten. Die Abrechnung wird vom ASIC 150 voilzogen und vom Prozessor 120 Qberpruft Die postalischen 
Abrechnungsdaten werden in nichtftQchtigen Speichem unterschiedlicher Technologie gespeichert 
25 Die Systemspannung liegt am Versorgungseingang eines zweiten Speichers NV-RAM 114 an. Bei letzterem handelt es 
sich um einen nichtfluchtigen Speicher NVRAM einer zweiten Technologie, (SHADOWRAM). Diese zweiten 
Technologie umfaGt vorzugsweise ein RAM und ein EEPROM, wobei ietzteres die Dateninhalte bei 
Systemspannungsausfall automatisch Obernimmt. Der NVRAM 114 der zweiten Technologie ist mit den 
entsprechenden Adress- und DateneingSngen des ASIC's 150 Qber einen internen AdreG- und Datenbus 112, 113 
verbunden. 

[0035] Der ASIC 150 enthait mindestens eine Hardware-Abrecheneinheit fQr die Berechnung der zu speichernden 
postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 150 untergebracht. 
Der ASIC 150 wird durch die Logik PAL 160 gesteuert Ein AdreG- und Steuerbus 117, 115 von der Hauptplatine 9 ist 
an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal fQr 
das ASIC 150 und ein Steuersignal 119 fQr den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein 
35 Programm ab, das im FLASH 128 gespeichert ist Der Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind Qber 
einen modulinternen Systembus miteinander verbunden, der Leitungen 110,111,126,119 fQr Daten-, AdreG- und 
Steuerstgnale enthait 

Der Prozessor 120 des Sicherhertsmoduls 100 ist Qber einen modulinternen Datenbus 126 mit einem FLASH 128 und 
mit dem ASIC 150 verbunden. Der FLASH 128 wird mit Systemspannung Us+ versorgt Er ist beispielsweise ein 128 
Kbyte- FLASH-Speicher vom Typ AM29F0I0-45EC. Der ASIC 150 des postalischen Sicherhertsmoduls 100 liefert Qber 
40 einen modulinternen AdreGbus 110 die Adressen 0 bis 7 an die entsprechenden AdreGeingange des FLASH 128. Der 
Prozessor 120 des Sicherhertsmoduls 100 liefert Qber einen internen AdreGbus 111 die Adressen 8 bis 15 an die 
entsprechenden Adresseingange des FLASH 128. Der ASIC 150 des Sicherhertsmoduls 100 steht Qber die 
Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem AdreGbus 117 und dem Steuerbus 115 der 
Hauptplatine 9 in Kommunikationsverbindung. 

[0036] Es ist vorgesehen, daG der Prozessor 120 Speicher 122, 124 aufweist, an welche Qber die Leitung 138 eine 
Betriebsspannung Ub+ von einer SpannungsQberwachungseinheit 12 zugefuhrt wird. Insbesondere eine Echtzeituhr 
RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung Qber die Leitung 138 versorgt. Die 
SpannungsQberwachungseinheit (Battery Observer) 12 liefert auGerdem ein Statussignal 164 und reagiert auf ein 
Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der Leitung 136 fQr den Battery 
Observer 12 und Speicher 116 diejenige seiner Eingangsspannungen als Versorgungsspannung werter, die groGer als 
00 die andere ist. Durch die M6glichkeit, die beschriebene Schaltung in Abhangigkert von der H6he der Spannungen Us+ 
und Ub+ automatisch mit der grflGeren von beiden zu speisen, kann wahrend des Normalbetriebs die Batterie 134 ohne 
Datenveriust gewechselt werden. 

[0037] Die Batterie 134 des Sicherhertsmoduls 100 speist in den Ruhezeiten auGerhalb des Normalbetriebes in 
vorerwahnter Weise die Echtzeituhr (RTC) 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM 
(SRAM) 124, der sicherheitsrelevante Daten halt. Sinkt die Spannung der Batterie wahrend des Batteriebetriebs unter 
55 eine bestimmte Grenze, so wird von der SpannungsQberwachungseinheit 12 der Speisepunkt fQr die RTC und SRAM 
bis zum Rucksetzen mit Masse verbunden. Die Spannung an der RTC und am SRAM liegt dann bei 0V. Das fuhrt dazu, 
daG der SRAM 124, der z.B. wichtige kryptografische Schlussel enthait, sehr schnell geloscht wird. Gleichzeitig 
werden auch die Register der RTC 122 geloscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch 
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diese Aktion wird verhindert, da(J ein moglicher Angreifer durch Manipulation der Batteriespannung die 
frankiermaschin en interne Uhr 122 anhalt, ohne dafS sicherheitsrelevante Daten verioren gehen. Somit wird verhindert, 
daft der Angreifer SicherheitsmaBnahmen, wie beispielsweise Long Time Timer oder Watchdogs umgeht. Die 
vorgenannten SicherheitsmaSnahmen werden anhand der Figuren 9 und 10 ausfuhriich erlautert. 
[0038] Die RESET-Einheit 130 ist Qber die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des 
ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch 
eine Resetgenerierung in der RESET-Einheit 130 zurQckgesetzt 

[0039] Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die beschriebene Schaltung in 
einen Selbsthaltezustand, in dem sie auch bei nachtraglicher ErhOhung der Spannung bleibt Beim nachsten 
Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder 
Qber die Auswertung der Inhatte des geloschten Speichers darauf schlieSen, daa die Batteriespannung zwischenzertfich 
einen bestimmten Wert unterschritten hat. Der Prozessor kann die Oberwachungsschaltung zurOcksetzen, d.h. "schart" 
machen. 

[0040] Die Ungestecktsein-Detektionseinheit 13 hat zur Messung der Eingangsspannung eine Leitung 192, die 
Qber den Stecker des Sicherhertsmoduls und Interface 8, vorzugsweise Qber einen Sockel auf der Mutterplatine 9 der 
Frankiermaschine mit Masse verbunden ist Diese Messung dient zur statischen Oberwachung des Gesteckseins und 
bildet die Grundlage for eine Oberwachung auf einer ersten Stufe. Es ist vorgesehen, da& die Ungestecktsein- 
Detektionseinhert 13 Schaltungsmittel fQr eine rucksetzbare Selbsthaltung aufweist, wobei die Selbsthaltung 
ausgelflst wird, wenn der Spannungspegel auf einer Me&spannungsleitung 192 von einem vorbestimmten Potential 
abweicht Zugleich umfaQt die AuswerteLogik den mit den anderen Funktionseinheiten verbundenen Prozessor 120, 
welcher program miert ist, den jeweiligen Zustand des Sicherhertsmoduls 100 festzustellen und zu verandern. Der 
Zustand der Selbsthaltung ist Qber die Leitung 139 vom Prozessor 120 des Sicherhertsmoduls 100 abfragbar. Das 
MeSspannungspotential auf der Leitung 192 entspricht Massepotential, wenn der Sicherheitsmodul 100 
ordnungsgemaG gesteckt ist Auf der Leitung 139 liegt Betriebsspannungspotential. Massespannungspotential liegt auf 
der Leitung 139 an, wenn der Sicherheitsmodul 100 ungesteckt ist Der Prozessor 120 weist einen fOnften Pin5 auf, an 
welchem die Leitung 139 angeschlossen ist, urn den Zustand der Ungestecktsein-Detektionseinheit 13 abzufragen, ob 
sie auf Massepotential mit Selbsthaltung geschaftet ist Urn den Zustand der Selbsthaltung der Ungestecktsein- 
Detektionseinheit 13 uber die Leitung 137 zuruckzusetzen, weist der Prozessor 120 einen vierten Pin 4 auf. 
[0041] Weiterhin ist eine Stromschleife 18 vorgesehen, die die Pins 6 und 7 des Prozessors 120 ebenfalls uber 
den Stecker des Sicherhertsmoduls und Qber den Sockel auf der Hauptplatine 9 der Frankiermaschine miteinander 
verbindet Die Leitungen an den Pins 6 und 7 des Prozessors 120 sind nur bei einem an die Hauptplatine 9 gesteckten 
PSM 100 zu einer Stromschleife 18 geschlossen. Diese Schleife bildet die Grundlage fur eine dynamische 
Oberwachung des Angestecktseins des Sicherhertsmoduls auf einer zweiten Stufe. 

[0042] Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM- 
Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf Der Prozessor 120 ist mit Pin's 8, 9 zur Ausgabe mindestens eines 
Signals zur Signalisierung des Zustandes des Sicherhertsmoduls 100 ausgestattet An den Pins 8 und 9 liegen l/O- 
Ports der Ein/AusgabeEinheit 125, an weichen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige 
Lichtemitterdioden LED's 107, 108, welche den Zustand des Sicherhertsmoduls 100 signalisieren. Die 
Sicherheitsmodule konnen in ihrem Lebenszyklus verschiedene Zustande einnehmen. So mufi z.B. detektiert werden, 
ob das Modul gOltige kryptografische SchlOssel enthalt Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul 
funktioniert oder defekt ist Die genaue Art und Anzahl der Modulzustande ist von den realisierten Funktionen im 
Modul und von der Implementierung abhangig. 

[0043] Anhand der Figur 5 wird das Schaltbild der Detektionseinheit 13 erlautert. Es ist vorgesehen, daft die 
Ungestecktsein-Detektionseinheit 13 einen Spannungsteiler aufweist, der aus einer Reihenschaltung von Widerstanden 
1310, 1312, 1314 besteht und zwischen einem von einem Kondensator 1371 abgreifbaren 
Versorgungsspannungspotential und einem MeBspannungspotential auf der Leitung 192 gelegt ist. Die Schaltung wird 
Qber die Leitung 136 mit der System- oder Batteriespannung verso rgt Die jeweilige Versorgungsspannung von der 
Leitung 136 gelangt Qber eine Diode 1369 auf den Kondensator 1371 der Schaltung. Ausgangsseitig der Schaltung liegt 
ein Negator 1320, 1398. Im Normalzustand ist der Transistor 1320 des Negators gesperrt und die 
Versorgungsspannung wird uber den Widerstand 1398 auf der Leitung 139 wirksam, welche deshalb logisch T, d.h. H- 
Pegel im Normalzustand fOhrt. Ein L-Pegel auf der Leitung 139 ist vorteilhaft als Statussignal fur ein 
Ungestecktsein, weil dann in den Pin 5 des Prozessors 120 kein Strom hineinfliefit, was die Batterielebensdauer 
erhoht Die Diode 1369 sorgt vorzugsweise in Zusammenhang mit einem Elektrolytkondensator 1371 dafur, daS die 
dem Negator vorgeschaltete Schaltung Qber einen relativ langen Zeitraum (>2 s) mit einer Spannung versorgt wird, bei 
der deren Funktion gewahrleistet ist, obwohl die Spannung auf der Leitung 136 bereits abgeschaltet wurde. 
Der Spannungsteiler 1310, 1312, 1314 weist einen Abgrift 1304 auf, an welchem ein Kondensator 1306 und der 
nichtinvertierende Eingang eines Komparators 1300 angeschlossen sind. Der invertierende Eingang des Komparators 
1300 ist mit einer Referenzspannungsquelle 1302 verbunden. Der Ausgang des Komparators 1300 ist einerseits Qber 
den Negator 1324,1398 mit der Leitung 139 und anderersetts mit dem Steuereingang eines Schaltmittels 1322 fur die 
Selbsthaltung verbunden. Das Schaltmittel 1322 istzum Widerstand 1310 des Spannungsteilers parallel geschaltet und 
das Schaltmittel 1316 fur eine ROcksetzung der Selbsthaltung ist zwischen dem Abgriff 1304 und Masse geschaltet. Der 
Abgriff 1304 des Spannungsteilers liegt am Verbindungspunkt der Widerstande 1312 und 1314. Der zwischen dem 
Abgriff 1304 und Masse geschaltete Kondensator 1306 verhindert Schwingungen. Die Spannung am Abgriff 1304 des 
Spannungsteilers wird im Komparator 1300 mit der Referenzspannung der Quelle 1302 verglichen. Ist die zu 
vergleichende Spannung am Abgriff 1304 kleiner als die Referenzspannung der Quelle 1302, 50 bleibt der 
Komparatorausgang auf L-Pegel geschaltet und der Transistor 1320 des Negators ist gesperrt. Dadurch erhalt die 
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Leitung 139 nun Betriebsspannungspotential und das Statussignal fQhrt logisch '1'. Der Spannungsteiler ist so 
dimensioniert, daB bei Massepotentiat auf der Leitung 192 der Abgriff 1304 eine Spannung fuhrt, welche sicher 
unterhalb der Schaltschwelle des Komparators 1300 liegt. Wird die Verbindung unterbrochen und die Leitung 192 ist 
nicht mehr mit Masse verbunden, weil das Sicherheitsmodul 100 vom Socket auf der Hauptplatine 9 bzw. 
Interfaceeinheit 8 der Frankiermaschine geldst wurde, so wird die Spannung am Abgriff 1304 uber die Spannung der 
5 Referenzspannungsquelle 1302 gezogen und der Komparator 1300 schaltet um. Der Komparatorausgang wird auf H- 
Pegel geschaltet und folglich ist der Transistor 1320 durchgeschaltet Dadurch wird die Leitung 139 mit 
Massepotential verbunden und das Statussignal fQhrt logisch '0. Mit Hilfe eines Transistors 1322, welcher dem 
Widerstand 1310 des Spannungsteilers parallelgeschaitet ist, wird eine Selbsthalteschaitung der Ungestecktsein- 
Detektionseinheit 13 realisiert Der Steuereingang des Transistors 1322 wird vom Komparatorausgang auf H-Pegel 
geschaltet Dadurch schaltet der Transistor 1322 durch und uberbrOckt den Widerstand 1310. Infolgedessen wird der 
Spannungsteiler nur noch durch die Widerstande 1312 und 1314 gebildet Dadurch wird die Umschaltschwelle so weit 
erhoht, daG der Komparator auch im geschalteten Zustand bleibt, wenn die Leitung 192 wieder Massepotential fuhrt, 
weil das Sicherheitsmodul wieder gesteckt wurde. 

Der Zustand der Schaltung kann uber das Signal auf der Leitung 139 vom Prozessor 120 abgefragt werden. 

Es ist vorgesehen, daft die Ungestecktsein-Detektionseinheit 13 als Schaftungsmittel eine Leitung 137 und ein 

15 Schaltmittel 1316 far eine ROcksetzung der Selbsthaltung aufweist, wobei die RQcksetzung vom Prozessor 120 uber ein 
Signal auf der Leitung 137 auslosbar ist. Der Prozessor 120 kann jederzeit Ober einen Anwenderschaltkreis ASIC 150, 
uber eine erste Kontaktgruppe 101, uber einen Systembus der Steuereinrichtung 1 und beispielsweise Ober den 
Mikro prozessor 91 per Modem 83 den Kontakt zu einer entfernten Datenzentrale aufnehmen, welche die 
Abrechnungsdaten uberpruft und gegebenenfalts weitere Daten an den Prozessor 120 ubermittett. Der 
Anwenderschaltkreis ASIC 150 des Sicherheitsmoduls 100 ist mit dem Prozessor 120 Ober einen modultnternen 

20 Datenbus 126 verbunden. 

Der Prozessor 120 kann die Ungestecktsein-Detektionseinheit zurucksetzen, wenn mittels der ubermrttelten Daten eine 
Reinitialisation erfolgreich abgeschlossen werden konnte. Dazu wird Ober das RQcksetzsignal auf der Leitung 137 der 
Transistor 1316 durchgeschaltet und somit die Spannung am Abgriff 1304 unter die Referenzspannung der Quelle 1302 
gezogen und die Transistoren 1320 und 1322 sperren. Ist der Transistor 1322 im Normalzustand gesperrt, so bilden die 
Widerstande 1310 und 1312 in Serie den oberen Teil des oben genannten Spannungsteilers und die Umschartschweile 

25 wird wieder auf den Ursprungszustand abgesenkt 

[0044] Die Figur 6 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls in Seitenansicht. Das 
Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet, d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 
106 verschaltet. Das Sicherheitsmodul 100 ist mit einer harten VerguSmasse 105 vergossen, wobei die Batterie 134 
des Sicherheitsmoduls 100 au&erhalb der VergufJmasse 105 auf einer Leiterplatte 106 auswechselbar angeordnet ist. 
Beispielsweise ist es so mit einem Verguli mate rial 105 vergossen, daft Signalmittel 107, 108 aus dem Vergu&material 
an einer ersten Stelle herausragen und dafS die Leiterplatte 106 mit der gesteckten Batterie 134 seitiich einer 
zweiten Stelle herausragt. Die Leiterplatte 106 hat aufcerdem Batteriekontaktklemmen 103 und 104 fur den AnschluR 
der Pole der Batterie 134, vorzugsweise auf der BestDckungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, 
daS zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die 
Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet 

35 sind. Der Anwenderschaltkreis ASIC 150 steht Ober die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem 
Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der 
Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine 
gesteckt, dann ist es vorzugsweise innerhalb des Metergehauses dergestalt angeordnet, so da& das Signalmittel 107, 
108 nahe einer Offnung 109 ist Oder in diese hineinragt. Das Metergehause ist damit vorteilhaft so konstruiert, dad 
der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von au&en sehen kann. Die beiden Leuchtdioden 107 

40 und 108 des Signalmittels werden uber zwei Ausgangssignale der l/O-Ports an den Pin 8, 9 des Prozessors 120 
gesteuert. Beide Leuchtdioden sind in einem gemeinsamen Bauelementegehause untergebracht (Bicoiorleuchtdiode), 
weshalb die AbmaRe bzw. der Durchmesser der Offnung relativ klein bleiben kann und in der GrSGenordnung des 
Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar (rot, grun, orange). Zur 
Zustandsunterscheidung werden die LED's auch blinkend benutzt, so dafc 8 verschiedene Zustandsgruppen 
unterschieden werden kdnnen, die durch folgende LED-Zustande charakterisiert werden: LED grun leuchtend, LED rot 

45 leuchtend, LED Orange leuchtend, LED rot blinkend, LED grun blinkend, LED orange blinkend, LED rot leuchtend und 
orange blinkend sowie LED grun leuchtend und orange blinkend. 

[0045] In der Figur 7 ist eine Draufsicht auf das postalische Sicherheitsmodul dargestellt 

[0046] Die Figuren 8a bzw. 8b zeigen eine Ansicht des Sicherheitsmoduls jeweils von rechts bzw. von links. Die 
Lage der Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den Figuren 8a und 8b in Verbindung mit 
5Q Figur 6 deutlich. 

[0047] Gemafc einer in der Figur 9 gezeigten - sich selbst eriauternden - Tabelle fur Statussignalisierung geht 
eine Vielzahl mdglicher Zustandsanzeigen hervor. Eine grun leuchtende LED 107 signalisiert einen OK-Zustand 220, 
aber eine leuchtende LED 108 signalisiert einen Fehler-Zustand 230 im Ergebnis eines mindestens statischen 
Selbsttestes. Das Ergebnis eines solchen an sich bekannten Selbsttestes kann wegen der direkten Signalisierung uber 
die LED's 107,108 nicht verfalscht werden. Beispielsweise fur den Fall, dafi zwischenzeitlich die im Sicherheitsmodul 
55 gespeicherten Schlussel verlohren gingen, wurde die laufende Oberprufung im dynamischen Betrieb den Fehler 
feststellen und als den Zustand 240 mit orange leuchtenden LED's signalisieren. Nach einem Aus/Einsc harten ist ein 
Booten erfordertich, da anderenfalls keine andere Operation mehr ausgefOhrt werden kann. Der Fall, daS bei der 
Herstellung die Installation eines Schlussels vergessen wurde, wird als Zustand 260 beispielsweise mit einer grun 
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blinkenden LED 1 07 signalisiert. 

Die erste Funktionseinheit ist der Prozessor 120. Dieser wertet standig einen zweiten Tageskredit daraufhin aus, ob 
letzterer erschtift ist Das ist der Fall, wo ein long time Timer abgelaufen ist Der long time Timer ist abgelaufen, 
wenn eine zu lange Zeit die Datenzentrale nicht mehr kontaktiert wurde, beispielsweise dazu urn ein Guthaben 
nachzuladen. AJs Zeitkredit konnen von der Datenzentrale beispielsweise 90 Tage vorgegeben und bei der Installation 
Oder beim Nachladen in einen Speicher 124 des Sicherheitsgerates geladen werden. Nach Ablauf dieser 90 Tage wird 
ein w'LOST" -Zustand 250 durch eine rot blinkende LED signalisiert. Der long time Timer ist vorzugsweise ein 
Ruckwartszahler, der im Prozessor 120 realisiert wird. Da bei Zeitablauf der Zahlerstand Null erreicht wird bleibt 
der Zustand 250 ebenfalls bestehen, wenn das Sicherheitsmodul vom Meter getrennt wurde, nachdem 
der w 'LOSTZustand erreicht wurde. Wenn der letzte Kontakt zur Datenzentrale solange zuruckliegt, daG dies bereits 
verdachtig erscheint, wird der suspekte Zustand 270 signalisiert, vorzugsweise ein ROckwartszahler, der ebenfalls im 
Prozessor 120 realisiert ist, der standig einen ersten Tageskredit von beispielsweise 30 Tagen daraufhin auswertet, 
ob letzterer erschoft ist 

[0048] Weitere Zustandsanzeigen fur die Zustande 280 und 290 sind optional fur verschiedene weitere Prufungen 
vorgesehen. Dazu kdnnen weitere Funktionseinheiten, insbesondere ein Temperaturfuhler, im Sicherheitsmodul 
vorgesehen sein. Wurde zum Beispiel eine Temperatur Qberschritten, welche zu Schaden im Sicherheitsmodul fuhren 
15 konnte, so kann dieser Zustand 280 mrt den LED's 107, 108 signalisiert werden, die rot leuchten und orange blinken 
und somit die Gesamtwirkung des abwechselnd rot/orange Blinkens hervorrufen. Die zweite Funktionseinheit kann die 
Batteriespannung gegebenenfalis daraufhin Qberwachen, ob deren Kapazitat erschOpft ist Vorteilhaft kann ein Zustand 
290 fQr einen erforderlichen Batteriewechsel mit den LED's 107, 108 signalisiert werden, die grun leuchten und 
orange blinken und somit die Gesamtwirkung des abwechselnd grun/orange Blinkens hervorrufen. 
[0049] Die Figur 10 zeigt eine Darstellung der Prufungen im System for statisch und dynamisch anderbare 
20 Zustande. Ein ausgeschaltetes System im Zustand 200 geht nach dem Einschalten uber die Transition Start 201 in den 
Zustand 210 uber, in welchem vom Sicherheitsmodute ein statischer Seibsttest durchgefuhrt wird sobald die 
Betriebsspannung anliegt Bei der Transition 202, bei der der Seibsttest ein OK bei ordnungsgema&em Ergebnis ergibt, 
wird der Zustand 220 mit LED 107 grOn leuchtend erreicht Ausgehend von letzterem Zustand sind bei Bedarf ein 
wiederholter statischer Seibsttest, ein dynamischer Dauer-Test, mindestens ein periodischer Zeitkredit-Test und 
andere Teste durchfuhrbar. Eine solche Tests veranschaulichende Transition 203 fOhrt zurOck auf den Zustand 220 
LED grun bei OK. Eine Transition 206 fuhrt auf den Zustand 240 und die LED's leuchten orange bei einem wahrend des 
dynamischen Seibsttest festgestellten Fehler. Letzterer ist durch einen Recover-Versuch evtl. durch Ausschalten 
(Transition 211) und Wiedereinschalten des Gerates (Transition 201) behebbar. Statische Fehler sind aber nicht 
behebbar. Vom Zustand 210, in welchem das eingeschaltete Gerat einen statischen Seibsttest ausfuhrt, existiert bei 
einem Fehler eine Transition 204 zum Zustand 230 und die LED 108 leuchtet rot Zu jeder Zeit, wenn sich das Gerat im 
30 Zustand 220 (LED grun) befindet, kann ein on demand ausgefuhrter statischer Seibsttest bei einem Fehler uber eine 
Transition 205 zum Zustand 230 (LED rot) fQhren. Ausgehend vom Zustand 220 (LED grun) fuhren weitere Transitionen 
207, 208, 209 zu den weiteren Zustanden 270, 250, 260. Im Zustand 270 wird mit orange blinkenden LED's 107, 108 
signalisiert, daft die Verbindung zur Datenzentrale aufgenommen werden sol), da das Sicherheitsgerat bereits als 
suspekt gilt. Uber die Transition 212, die das Nachladen ergibt, wird wieder der Zustand 210 erreicht 
Im Zustand 250 wird mrt der rot blinkenden LED 108 der Zustand "'LOST signalisiert. Bei der Transition 209 bei 
35 der ein weiterer Seibsttest des Prozessors 120 ein Erfordernis des Nachladens eines Schlussels ergibt, wird der 
Zustand 260 mit LED 107 grOn biinkend erreicht. 

Ausgehend vom Zustand 220 (LED 107 grun) kdnnen optionale weitere Transitionen entweder zu dem weiteren 
Zustand 280 mit rot leuchtend/orange blinkenden LED's oder dem Zustand 290 mit grun leuchtend/orange blinkenden 
LED's fuhren. Bei der ersten optionalen Transition ergibt eine Temperaturmessung ein Erfordernis des Auswechseins 
des ganzen Sicherheitsmoduls. Bei der letzteren Transition ergibt eine Kapazitatsmessung der Batterie ein 

40 Erfordernis des Batteriewechsel ns. 

[0050] Die Figur 11 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls nach einer zweiten Variante in 
Seitenansicht Das Sicherhertsmodul ist wieder als Multi-Chip-Modul ausgebildet und mit einer harten VerguGmasse 
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 au&erhalb der Vergu&masse 105 auf einer 
Leiterplatte 106 auswechselbar angeordnet ist Aus Kostengrunden erfolgt der VerguB an einer ersten Stelle so mit 
einem Vergu Immaterial 105, dass das Signalmittel 107, 108 und die gesteckte Batterie 134 extern vom VerguSmaterial 

45 an einer zweiten Stelle auf der Oberseite der Leiterplatte 106 montiert sind. Die Leiterplatte 106 hat wieder 
Batteriekontaktklemmen 103 und 104 fur den Anschlufi der Pole der Batterie 134, vorzugsweise auf der 
Bestuckungsseite oberhalb der Leiterplatte 106. Die beiden Leuchtdioden 107 und 108 des Signalmrttels sind bei 
dieser Variante separate Bauelemente. Die beiden Leuchtdioden 107 und 108 des Signalmrttels werden uber zwei 
Ausgangssignale der l/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert Zur Zustandsunterscheidung kbnnen die 

^ LED's wiederum auch biinkend gesteuert werden, so daft verschiedene Zustandsgruppen unterschieden werden 
kdnnen. Das Metergehause ist ebenfalls wieder so konstruiert, daB der Benutzer die Statusanzeige des 
Sicherheitsmoduls von auften, beispielsweise durch ein Sichtfenster oder eine Offnung 109 sehen kann. 
Es ist ebenfalls vorgesehen, dass zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine 
des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 des Sicherheitsmoduls 100 angeordnet 
sind. Vorteilhaft enthait ein Verbinder 127 die Kontaktgruppen 101 und 102, wobei ein Verbinder 127 auf der 

55 Leiterbahnseite der Leiterplatte 106 angeordnet ist 

[0051] In der Figur 12 ist eine Draufsicht auf das postaiische Sicherheitsmodul der zweiten Variante 
dargestellt. Die VergufSmasse 105 umgibt quaderfermig den ersten Teil der Leiterplatte 106, wahrend der zweite Teil 
der Leiterplatte 106 fur die beiden Leuchtdioden 107 und 108, die auswechselbar angeordnete Batterie 134 und fur den 
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Verbinder 127 (hier nicht sichtbar) frei von Vergufimasse bleibt. Die Batteriekontaktklemmen 103 und 104 werden in 
der Figur 12 von der Batterie verdeckt, sind aber ebenso wie der Verbinder 127 in der Seitenansicht nach Fig. 13a 
sichtbar. 

[0052] Der Verguli des ersten Teils der Leiterplatte 106 zeigt weder Offnungen noch Erhebungen und bietet somit 
weniger Angriffspunkte fOr ein Manipulation in krimineller Absicht. Das VerguSmaterial 105 ist vorzugsweise ein 
Zweikomponenten-Epoxitharz oder Polymer bzw. Kunststoff. Geeignet ist eine VerguGmasse aus STYCAST ®2651-40 
FR von der Firma EMERSON & CUMING mit vorzugsweise CATALYST 9 als zweite Komponente. Bei der Herstellung 
des Vergusses werden beide Komponenten gemischt und auf beide Seiten der Leiterplatte 106 in deren ersten Teil 
aufgebracht. Letzteres kann beispielsweise durch Eintauchen in die frische Mischung erfolgen. Nun kann eine - nach 
einem abschlieSend ausserem VerguB von aussen nicht sichtbare - Schutz-und/oder Sensorschicht angebracht 
werden, welche wahrend des Aushartens des VerguSmaterials 105 mit letzterem eine feste Verbindung eingeht Nach 
dem abschlie&enden ausseren VergulJ hartet die Vergussmasse zu dem festen undurchsichtigen Verguftmaterials 105 
aus. 

[0053] Die Figuren 13a bzw. 13b zeigen eine Ansicht des Sicherheitsmoduls der zweiten Variante jeweils von 
rechts bzw. von links. Die Lage des Verbinders 127 mit den Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 
wird aus den Figuren 13a und 13b in Verbindung mrt Figur 12 deutlicher sichtbar. 

Alternate kann beispielsweise ein Verbinder 127 - in nicht gezeigter Weise - auf der Oberseite des zweiten Teils 
der Leiterplatte 106 angebracht werden. 

[0054] Prinzipiell kann naturiich auch ein anderes Signalmittef in Verbindung mit einem postalischen Gerat 
eingesetzt werden. 

ErfindungsgemaG ist das postalische Gerat, insbesondere eine Frankiermaschine. Das Sicherhertsmodul kann dann als 
postalisches Sicherheitsgerat PSD (POSTAL SECURITY DEVICE) durch die jeweilige PostbehOrde zugelassen 
werden. 

[0055] Das Sicherhertsmodul bzw. PSD auch eine andere Bauform aufweisen, die es ermdglicht, daG es 
beispielsweise auf die Hauptplatine eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen 
handeisublichen Drucker ansteuert. 

[0056] Die Erfindung ist nicht auf die vorliegenden Ausfuhrungsform beschrankt, da offensichtiich weitere andere 
Anordnungen bzw. Ausfuhrungen der Erfindung entwickett bzw. eingesetzt werden kflnnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den anliegenden Anspruchen umfaGt werden. 

PatentansprUche 

1. Verfahren zum Schutz eines Sicherheitsmoduls, mit den folgenden Schritten: 

, Uberwachung des Zustandes, des sachgema&en Gebrauchs oder Austausches des Sicherheitsmoduls 
mindestens mittels zweier Funktionseinheiten (120, 12, 13), 

Signalisieren mindestens eines Zustandes (220, 230, 240, 250, 260, 270, 280, 290) gesteuert mittels einer 
ersten Funktionseinheit (120) und 

Loschen von sensitiven Daten aufgrund eines unsachgemaBen Gebrauchs oder Austausches mindestens 
mittels einer zweiten Funktionseinheit (12). 



2. Verahren, nach Ansprunch 1, gekennzeichnet dadurch, dali mittels der ersten Funktionseinheit (120) ein 
Zeitablauf detektiert wird und dali zur Wiederherstellung der Funktionen ein weiterer Verfahrensablauf erfolgt, 
mit den Schriften: 

, Reinitialisieren mittels der ersten Funktionseinheit (120) von zuvor geldschten sensitiven Daten nach 
sachgemaGem Gebrauch oder Austausch des Sicherheitsmoduls, und 

, Wiederinbetriebnahme durch Freischalten der Funktionseinheiten (12, 13) des Sicherheitsmodules (100). 



3. Verfahren, nach Anspruch 1, gekennzeichnet dadurch, dali mittels der zweiten Funktionseinheit (12) eine 
Uberwachung des sachgema&en Einsatzes Oder Zustandes der Batterie (134) vorgenommen wird. 

4. Verfahren, nach Anspruch 1, gekennzeichnet dadurch, dali ein Sperren der Funktionalitat mittels einer 
dritten Funktionseinheit (13) aufgrund eines Austausches des Sicherheitsmoduls oder aufgrund eines 
ZerstSrungszustandes nach einem An griff erfolgt. 

5. Verfahren, nach Anspruch 4, gekennzeichnet dadurch, dafi mittels der dritten Funktionseinheit (13) ein 
Zerstcrungszustand nach einem mechanischen oder chemischen Angriff detektiert wird 

6. Verfahren, nach Anspruch 2, gekennzeichnet dadurch, dafi die erste Funktionseinheit standig einen ersten 
Tageskredit auswertet, wobei ein suspekter Zustand signalisiert wird, wenn der Tageskredit erschoft ist. 
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7. Verfahren, nach Anspruch 6, gekennzeichnet dadurch, daS durch eine Kontaktaufnahme mit der Datenzentrale 
der normale Arbeitszu stand wiederhergesteilt werden, ohne dali eine Inspektion vor Ort durch einen Service 
erforderiich wird. 

8. Verfahren, nach Anspruch 2, gekennzeichnet dadurch, dafi der Zeitkredit variabel und von Sicherheitsgerat zu 
Sicherheitsgerat unterschiedlich ist und bei der Installation in einen Speicher des Sicherheitsgerates geladen 
werden kann. 

9. Verahren, nach Anspruch 2, gekennzeichnet dadurch, daG die erste Funktionseinheit (120) standig einen 
zweiten Tageskredit auswertet, welcher langer als der erste Tageskredit lauft, wobei der Zustand " LOST 1 
signalisiert wird, wenn der zweite Tageskredit erschdft ist 

10. Anordnung zur Durchfuhrung des Verfahrens nach Anspruch 1, wobei ein Sicherheitsmodul, mit einer Logik (120, 
150, 160), Mitteln zur Versorgung des Sicherheitsmoduls mit einer Systemspannung Oder mit einer Spannung aus 
einer Batterie (134) und mit einer Anzahl an Uberwachungsmitteln ausgestattet ist, gekennzeichnet durch 
mindestens eine erste (120) und zweite Funktionseinheit (12) sowie durch Mittel zum Laden mindestens eines von 
der Datenzentrale vorgegebenen Zeitkredits und durch ein Signalmittel (107, 108), welches mit einer ersten 
Funktionseinheit (120) verbunden ist, wobei das Laden bet der Installation und beim Nachladen in einen Speicher 
(124) des Sicherheitsgerates vorgenommen wird, und wobei die erste Funktionseinheit (120) einen Tageskredit auf 
Zeitablauf auswertet und das Signalmittel (107, 108) ansteuert, mindestens urn den Zeltablauf zu signalisieren, 
sowie durch Mittel der zweiten Funktionseinheit (12) zum Loschen von sensitiven Daten im Speicher (124) aufgrund 
eines unsachgema&en Gebrauchs oder Austausches des Sicherheitsmoduls. 

11. Anordnung, nach Anspruch 10, gekennzeichnet dadurch, dafi die zweite Funktionseinheit (12) eine 
Spannungsuberwachungseinheit (12) ist, welche uber eine Leitung (136) mit Mitteln zur Versorgung des 
Sicherheitsmoduls mit einer Systemspannung oder mit einer Batteriespannung verbunden ist, wobei die die zweite 
Funktionseinheit (12) uber eine Leitung (138) eine Betriebsspannung an einen Speicher (122, 124) abgibt 

12. Anordnung, nachAnspruch 10, gekennzeichnet dadurch, dafi eine dritte Funktionseinheit (13) eine 
Detektionseinheit mit Schaltungsmitteln (1310, 1316, 1322, 1324) fOr eine rucksetzbare Selbsthaitung vorhanden 
ist, wobei die Selbsthaitung ausgelost wird, wenn der Spannungspegel auf einer Me&spannungsleitung (192) von 
einem vorbestimmten Potential abweicht und dafi der mit den Funktionseinheiten (12, 13) verbundene Prozessor 
(120) programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls (100) festzusteilen und zu signalisieren. 

13. Anordnung, nach den Anspruchen 10 bis 12, gekennzeichnet dadurch, daft der Prozessor (120) Speicher (122, 
124) aufweist, an welche uber die Leitung (138) eine Betriebsspannung Ub+ von einer 
Spannungsuberwachungseinheit (12) gefuhrt wird, dafi der Prozessor (120) mit Systemspannung Us+ versorgt 
wird und einen vierten AnschluG (Pin 4) aufweist, urn den Zustand der Selbsthaitung der Detektionseinheit (13) 
uber die Leitung (137) zuruckzusetzen und einen funften Anschlufi (Pin 5) aufweist, an welchem die Leitung (139) 
angeschlossen ist, urn den Zustand der Detektionseinheit (13) abzufragen. 

14. Anordnung, nach einem der AnsprOche 10 bis 13, gekennzeichnet dadurch, dafi das Sicherheitsmodul (100) 
mit einer harten Vergu&masse (105) vergossen ist, da& die Batterie (134) des Sicherheitsmoduls (100) aulierhalb 
der Vergufimasse (105) auf einer Leiterplatte (106) auswechselbar angeordnet ist, dafi die Leiterplatte (106) die 
Batteriekontaktklemmen (103 und 104) fur den Anschlufi der Pole der Batterie (134) und eine zweite Kontaktgruppe 
(102) zur Versorgung des Sicherheitsmoduls (100) mit der Systemspannung aufweist und dafi die VerguBmasse mit 
Mitteln ausgestattet sind, welche des Sicherheitsmodul (100) vor einem Angriff warnen und ggf schutzen sowie dafi 
mindestens eine der Kontaktgruppen (101, 102) zur statischen und dynamischen Uberwachung des 
Angestecktseins und des Angegriffenseins des Sicherheitsmoduls (100) ausgebildet ist. 

45 15. Anordnung, nach einem der Anspruche 10 bis 14, gekennzeichnet dadurch, dafi der Prozessor (120) des 
Sicherheitsmoduls mit AnschlQssen (Pin's 8, 9) zur Ausgabe mindestens eines Signals zur Signalisierung des 
Zustandes des Sicherheitsmoduls (100) ausgestattet ist. 

16. Anordnung, nach Anspruch 15, gekennzeichnet dadurch, dafi an den l/O-Ports einer Ein/Ausgabe-Einheit (125) 
des Prozessors (120) modulinterne Signalmittel (107,108) angeschlossen sind. 
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